Scribd Logo
Upload

Welcome to Scribd!

  • Tshark

    Uploaded by

    Abdoulaye Aw
    56 views15 pages
    tshark

    Original Title

    tshark

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    tshark

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    56 views15 pages

    Tshark

    Uploaded by

    Abdoulaye Aw
    tshark

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 15

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    1 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    Home
    Nagios & Co
    Rseau IP
    GStreamer
    Hbergement
    Mes projets
    Annonceurs
    Contact
    Mail
    G+
    Facebook
    Twitter
    RSS
    (5584 abonns)

    Auteur:
    nicolargo
    Date:
    8/03/2010
    Catgories:
    Open-source
    Planet-libre
    Reseau
    Tags:
    cli
    tshark
    wireshark

    TShark, lautre TcpDump


    TShark est un logiciel avec une interface de type ligne de commande permettant d'analyser les protocoles rseaux
    captur depuis une interface (en utilisant la librairie libpcap) ou depuis un chier de capture au format Wireshark.
    Dvelopp en parallle de Wireshark, il est distribu sous licence GNU GPL.

    Installation de TShark
    Sous Ubuntu, il sut de l'installer partir des dpts avec la commande suivante:
    sudo aptitude install tshark
    Remarque: il est galement possible de faire l'installation depuis les sources.

    Dnir la source du trac analyser


    Deux solutions sont envisageables. La premire est de capturer le trac partir d'une interface physique
    compatible. Pour avoir la liste de ces interfaces, on utilisera l'option -D de TShark:

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    2 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    sudo tshark -D
    1. eth0
    2. wmaster0
    3. wlan0
    4. usbmon1 (USB bus number 1)
    5. usbmon2 (USB bus number 2)
    6. usbmon3 (USB bus number 3)
    7. usbmon4 (USB bus number 4)
    8. usbmon5 (USB bus number 5)
    9. usbmon6 (USB bus number 6)
    10. usbmon7 (USB bus number 7)
    11. usbmon8 (USB bus number 8)
    12. any (Pseudo-device that captures on all interfaces)
    13. lo
    Ainsi si l'on souhaite analyser les protocoles des ux transitant par l'interface ethernet par dfaut (eth0), il sut
    de saisir la commande suivante:
    sudo tshark -i eth0
    Running as user "root" and group "root". This could be dangerous.
    Capturing on eth0
    0.000000 Xensourc_8b:f0:9e -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.171
    0.021079 Netgear_b7:46:4a -> Spanning-tree-(for-bridges)_00 STP RST. Root = 32768/0
    /00:12:a9:81:5f:e0 Cost = 200000 Port = 0x8001
    0.182159 HewlettP_64:6e:2c -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.1
    0.325894 HewlettP_64:6e:a0 -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.2
    ...
    Il est galement possible d'analyser les ux de manire "o-line". Pour cela, il faut dans un premier temps
    capturer le trac dans un chier l'aide d'un logiciel comme Wireshark, TShark (ou tout autre logiciel dont le
    format est pris en charge, voir la liste de ces formats avec la commande "sudo tshark -F"), puis fournir ce chier
    en entre de TShark avec l'option -r:
    sudo tshark -r capture.cap
    1 0.000000 HewlettP_64:6e:a0 -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.2
    2 0.020195 HewlettP_64:6e:2c -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.1
    3 0.576826 192.168.29.75 -> 255.255.255.255 UDP Source port: 17500 Destination port: 17500
    4 0.577044 192.168.29.75 -> 192.168.29.255 UDP Source port: 17500 Destination port: 17500
    5 0.585752 Xensourc_8b:f0:9e -> Broadcast ARP Who has 192.168.29.120? Tell 192.168.29.171
    6 0.589851 HewlettP_64:6e:2c -> Broadcast ARP Who has 192.168.29.120? Tell 192.168.29.1
    ...

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    3 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    Les options de capture


    De base (c'est dire si aucune option complmentaire est donne), TShark analyse le trac jusqu' ce que
    l'utilisateur presse les touches CTRL-C. Dans le cadre d'un processus automatis, il est possible de dnir quand
    la capture doit s'arrter en utilisant l'option -a. Quelques exemples:
    Capture et analyse le trac pendant 10 secondes:
    sudo tshark -i eth0 -a duration:10
    Capture et analyse 100 paquets (si un ltre de capture est utilis, on capturera 100 paquets ltrs):
    sudo tshark -i eth0 -c 100
    Si on capture vers un chier, on peut xer la taille maximale de ce dernier 5 Ko:
    sudo tshark -i eth0 -a lesize:5 -w /tmp/capture.cap

    Les options d'achage


    TShark ache par dfaut les informations au format texte (c'est dire lisible par un humain geek).
    sudo tshark -i eth0
    2.536745 192.168.29.148 -> 192.168.29.1 DNS Standard query A safebrowsing-cache.google.com
    2.537232 192.168.29.1 -> 192.168.29.148 DNS Standard query response CNAME
    safebrowsing.cache.l.google.com A 74.125.10.151
    2.537347 192.168.29.148 -> 74.125.10.151 TCP 38883 > http [SYN] Seq=0 Win=5840 Len=0
    MSS=1460 TSV=171324902 TSER=0 WS=6
    2.568103 74.125.10.151 -> 192.168.29.148 TCP http > 38883 [SYN, ACK] Seq=0 Ack=1 Win=1460
    Len=0 MSS=1460 TSV=966567702 TSER=171324902 WS=6
    2.568140 192.168.29.148 -> 74.125.10.151 TCP 38883 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0
    TSV=171324910 TSER=966567702
    2.568243 192.168.29.148 -> 74.125.10.151 TCP [TCP segment of a reassembled PDU]
    2.568253 192.168.29.148 -> 74.125.10.151 HTTP GET /safebrowsing
    /rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEY9-oBIPvqASoFenUAAAMyBXd1AAAH HTTP/1.1
    2.578253 HewlettP_64:6e:2c -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.1
    2.601627 HewlettP_64:6e:a0 -> Broadcast ARP Who has 192.168.29.161? Tell 192.168.29.2
    2.605201 74.125.10.151 -> 192.168.29.148 TCP http > 38883 [ACK] Seq=1 Ack=731 Win=7296 Len=0
    TSV=966567739 TSER=171324910
    2.605226 74.125.10.151 -> 192.168.29.148 TCP http > 38883 [ACK] Seq=1 Ack=1045 Win=8768
    Len=0 TSV=966567739 TSER=171324910
    2.607870 74.125.10.151 -> 192.168.29.148 TCP [TCP segment of a reassembled PDU]
    2.607885 192.168.29.148 -> 74.125.10.151 TCP 38883 > http [ACK] Seq=1045 Ack=269 Win=6912
    Len=0 TSV=171324920 TSER=966567741
    2.612201 74.125.10.151 -> 192.168.29.148 TCP [TCP segment of a reassembled PDU]
    ...
    Il est possible de modier et customiser cet achage. Par exemple, TShark embarque deux modules permettant
    d'acher les paquets au format XML: PDML ou PSML.
    Achage au format PDML:

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    4 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    sudo tshark -i eth0 -T pdml


    <?xml version="1.0"?>
    <pdml version="0" creator="wireshark/1.2.2">
    Running as user "root" and group "root". This could be dangerous.
    Capturing on eth0
    <packet>
    <proto name="geninfo" pos="0" showname="General information" size="60">
    <eld name="num" pos="0" show="1" showname="Number" value="1" size="60"/>
    <eld name="len" pos="0" show="60" showname="Frame Length" value="3c" size="60"/>
    <eld name="caplen" pos="0" show="60" showname="Captured Length" value="3c" size="60"/>
    <eld name="timestamp" pos="0" show="Mar 8, 2010 15:43:33.098604000" showname="Captured
    Time" value="1268059413.098604000" size="60"/>
    </proto>
    <proto name="frame" showname="Frame 1 (60 bytes on wire, 60 bytes captured)" size="60" pos="0">
    <eld name="frame.time" showname="Arrival Time: Mar 8, 2010 15:43:33.098604000" size="0"
    pos="0" show="Mar 8, 2010 15:43:33.098604000"/>
    <eld name="frame.time_delta" showname="Time delta from previous captured frame: 0.000000000
    seconds" size="0" pos="0" show="0.000000000"/>
    <eld name="frame.time_delta_displayed" showname="Time delta from previous displayed frame:
    0.000000000 seconds" size="0" pos="0" show="0.000000000"/>
    <eld name="frame.time_relative" showname="Time since reference or rst frame: 0.000000000
    seconds" size="0" pos="0" show="0.000000000"/>
    <eld name="frame.number" showname="Frame Number: 1" size="0" pos="0" show="1"/>
    <eld name="frame.len" showname="Frame Length: 60 bytes" size="0" pos="0" show="60"/>
    <eld name="frame.cap_len" showname="Capture Length: 60 bytes" size="0" pos="0" show="60"/>
    <eld name="frame.marked" showname="Frame is marked: False" size="0" pos="0" show="0"/>
    <eld name="frame.protocols" showname="Protocols in frame: eth:arp" size="0" pos="0"
    show="eth:arp"/>
    </proto>
    <proto name="eth" showname="Ethernet II, Src: HewlettP_64:6e:2c (00:1f:29:64:6e:2c), Dst: Broadcast
    (:::::)" size="14" pos="0">
    <eld name="eth.dst" showname="Destination: Broadcast (:::::)" size="6" pos="0"
    show=":::::" value="">
    <eld name="eth.addr" showname="Address: Broadcast (:::::)" size="6" pos="0"
    show=":::::" value=""/>
    <eld name="eth.ig" showname=".... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)"
    size="3" pos="0" show="1" value="1" unmaskedvalue=""/>
    <eld name="eth.lg" showname=".... ..1. .... .... .... .... = LG bit: Locally administered address (this is
    NOT the factory default)" size="3" pos="0" show="1" value="1" unmaskedvalue=""/>
    </eld>

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    5 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    <eld name="eth.src" showname="Source: HewlettP_64:6e:2c (00:1f:29:64:6e:2c)" size="6" pos="6"


    show="00:1f:29:64:6e:2c" value="001f29646e2c">
    <eld name="eth.addr" showname="Address: HewlettP_64:6e:2c (00:1f:29:64:6e:2c)" size="6" pos="6"
    show="00:1f:29:64:6e:2c" value="001f29646e2c"/>
    <eld name="eth.ig" showname=".... ...0 .... .... .... .... = IG bit: Individual address (unicast)" size="3"
    pos="6" show="0" value="0" unmaskedvalue="001f29"/>
    <eld name="eth.lg" showname=".... ..0. .... .... .... .... = LG bit: Globally unique address (factory
    default)" size="3" pos="6" show="0" value="0" unmaskedvalue="001f29"/>
    </eld>
    <eld name="eth.type" showname="Type: ARP (0x0806)" size="2" pos="12" show="0x0806"
    value="0806"/>
    <eld name="eth.trailer" showname="Trailer: 000000000000000000000000000000000000" size="18"
    pos="42" show="00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00"
    value="000000000000000000000000000000000000"/>
    </proto>
    <proto name="arp" showname="Address Resolution Protocol (request)" size="28" pos="14">
    <eld name="arp.hw.type" showname="Hardware type: Ethernet (0x0001)" size="2" pos="14"
    show="0x0001" value="0001"/>
    <eld name="arp.proto.type" showname="Protocol type: IP (0x0800)" size="2" pos="16"
    show="0x0800" value="0800"/>
    <eld name="arp.hw.size" showname="Hardware size: 6" size="1" pos="18" show="6" value="06"/>
    <eld name="arp.proto.size" showname="Protocol size: 4" size="1" pos="19" show="4" value="04"/>
    <eld name="arp.opcode" showname="Opcode: request (0x0001)" size="2" pos="20" show="0x0001"
    value="0001"/>
    <eld name="arp.isgratuitous" showname="Is gratuitous: False" size="2" pos="20" show="0"
    value="0001"/>
    <eld name="arp.src.hw_mac" showname="Sender MAC address: HewlettP_64:6e:2c
    (00:1f:29:64:6e:2c)" size="6" pos="22" show="00:1f:29:64:6e:2c" value="001f29646e2c"/>
    <eld name="arp.src.proto_ipv4" showname="Sender IP address: 192.168.29.1 (192.168.29.1)"
    size="4" pos="28" show="192.168.29.1" value="c0a81d01"/>
    <eld name="arp.dst.hw_mac" showname="Target MAC address: 00:00:00_00:00:00
    (00:00:00:00:00:00)" size="6" pos="32" show="00:00:00:00:00:00" value="000000000000"/>
    <eld name="arp.dst.proto_ipv4" showname="Target IP address: 192.168.29.161 (192.168.29.161)"
    size="4" pos="38" show="192.168.29.161" value="c0a81da1"/>
    </proto>
    </packet>
    ...
    La dernire mthode permet de customiser soit mme les informations acher:
    sudo tshark -i eth0 -T elds -e ip.addr -e tcp.port
    Running as user "root" and group "root". This could be dangerous.
    Capturing on eth0
    209.172.41.53 80

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    6 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    209.172.41.53 80
    192.168.29.1
    192.168.29.148
    209.172.41.53 80
    192.168.29.148 34521
    209.172.41.53 80
    192.168.29.148 34522
    209.172.41.53 80
    192.168.29.148 34523
    209.172.41.53 80
    209.172.41.53 80
    209.172.41.53 80
    224.0.0.251
    192.168.29.148 34523
    ...

    Les ltres de base


    Selon ou le logiciel TShark sera lanc, le nombre de paquets analyser peut devenir trs important.
    Heureusement, TShark propose un systme de ltre permettant de se focaliser sur les protocoles utiles notre
    analyse.
    TShark propose deux types de ltres:
    les ltres de capture: permettant de ltrer le capture au moment de la capture
    les ltres d'achage: permet de ltrer avant l'achage
    Le seul hic est que les deux syntaxes ne sont pas les mmes. Les ltres de capture obissent une syntaxe propre
    libpcap (faire un "man pcap-lter" pour une description exhaustive) tandis que les ltres d'achage sont dnie
    par le projet Wireshark (voir le manuel en ligne ici).On peut remarquer la richesse des ltres d'achage qui
    permettent de remonter trs haut dans la couche OSI.
    Par exemple pour ltrer le trac HTTP (TCP port 80) avant la capture:
    sudo tshark -i eth0 port 80
    Running as user "root" and group "root". This could be dangerous.
    Capturing on eth0
    0.000000 192.168.29.148 -> 67.228.110.120 TCP 47593 > http [SYN] Seq=0 Win=5840 Len=0
    MSS=1460 TSV=171057533 TSER=0 WS=6
    0.182873 67.228.110.120 -> 192.168.29.148 TCP http > 47593 [SYN, ACK] Seq=0 Ack=1 Win=1460
    Len=0 MSS=1460 TSV=154345319 TSER=171057533 WS=9
    0.182924 192.168.29.148 -> 67.228.110.120 TCP 47593 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0
    TSV=171057578 TSER=154345319
    0.183029 192.168.29.148 -> 67.228.110.120 HTTP GET /docs/man-pages/tshark.html HTTP/1.1
    Alors quer pour capturer l'ensemble du trac et acher seulement le trac HTTP:

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    7 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    sudo tshark -i eth0 -R tcp.port==80


    Running as user "root" and group "root". This could be dangerous.
    Capturing on eth0
    3.127743 192.168.29.148 -> 67.228.110.120 TCP 47599 > http [SYN] Seq=0 Win=5840 Len=0
    MSS=1460 TSV=171071304 TSER=0 WS=6
    3.308054 67.228.110.120 -> 192.168.29.148 TCP http > 47599 [SYN, ACK] Seq=0 Ack=1 Win=1460
    Len=0 MSS=1460 TSV=154350827 TSER=171071304 WS=9
    3.308096 192.168.29.148 -> 67.228.110.120 TCP 47599 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0
    TSV=171071349 TSER=154350827
    3.308182 192.168.29.148 -> 67.228.110.120 HTTP GET /docs/man-pages/tshark.html HTTP/1.1
    Achage au format PSML:
    sudo tshark -i eth0 -T psml
    <?xml version="1.0"?>
    <psml version="0" creator="wireshark/1.2.2">
    Running as user "root" and group "root". This could be dangerous.
    Capturing on eth0
    <structure>
    <section>No.</section>
    <section>Time</section>
    <section>Source</section>
    <section>Destination</section>
    <section>Protocol</section>
    <section>Info</section>
    </structure>
    <packet>
    <section>1</section>
    <section>0.000000</section>
    <section>Netgear_b7:46:4a</section>
    <section>Spanning-tree-(for-bridges)_00</section>
    <section>STP</section>
    <section>RST. Root = 32768/0/00:12:a9:81:5f:e0 Cost = 200000 Port = 0x8001</section>
    </packet>
    ...

    Les ltres avances


    Via l'option -z, TShark donne l'accs des statistiques intressants selon le protocole que vous avez analyser.
    Le premier d'entre eux permet de gnrer un rapport avec la hirarchie des protocoles capturs:

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    8 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    sudo tshark -i eth0 -z io,phs


    ===================================================================
    Protocol Hierarchy Statistics
    Filter: frame
    frame frames:206 bytes:79513
    eth frames:206 bytes:79513
    llc frames:11 bytes:660
    stp frames:11 bytes:660
    arp frames:77 bytes:4584
    ip frames:118 bytes:74269
    tcp frames:59 bytes:22417
    ssl frames:11 bytes:11280
    http frames:2 bytes:502
    data-text-lines frames:1 bytes:264
    tcp.segments frames:8 bytes:5607
    ssl frames:8 bytes:5607
    msnms frames:2 bytes:145
    rtsp frames:12 bytes:3283
    udp frames:54 bytes:51342
    data frames:45 bytes:47992
    cow frames:2 bytes:2484
    dns frames:4 bytes:590
    rtp frames:3 bytes:276
    icmp frames:5 bytes:510
    ===================================================================
    Associ un ltre il est possible d'acher une rpartition dans le temps des paquets et de la taille associe:
    sudo tshark -i eth0 -z io,stat,1,tcp.port==80
    ===================================================================
    IO Statistics
    Interval: 1.000 secs
    Column #0:
    | Column #0
    Time |frames| bytes
    000.000-001.000 4 240
    001.000-002.000 5 312

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    9 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    002.000-003.000 6 1146
    003.000-004.000 61 18627
    004.000-005.000 76 30832
    005.000-006.000 45 16263
    006.000-007.000 95 40326
    007.000-008.000 107 50010
    008.000-009.000 81 30109
    009.000-010.000 125 58044
    010.000-011.000 75 46597
    011.000-012.000 236 155959
    012.000-013.000 32 15852
    013.000-014.000 2 531
    ===================================================================
    On peut galement acher une table de trac IP (source <-> destination). Il est galement possible de faire de
    mme seulment sur le trac TCP (-z conv,tcp) ou UDP (-z conv,udp):
    sudo tshark -i eth0 -z conv,ip

    =========================================================================
    IPv4 Conversations
    Filter:<No Filter>
    | <- | | -> | | Total |
    | Frames Bytes | | Frames Bytes | | Frames Bytes |
    192.168.29.148 <-> 74.125.39.18 79 39420 93 36753 172 76173
    192.168.29.148 <-> 74.125.39.17 45 27618 45 17223 90 44841
    192.168.29.148 <-> 74.125.39.83 30 18291 26 11999 56 30290
    192.168.29.148 <-> 74.125.39.106 6 751 11 8970 17 9721
    192.168.29.148 <-> 74.125.39.101 7 2954 9 3012 16 5966
    192.168.29.148 <-> 74.125.39.189 6 968 8 2382 14 3350
    192.168.29.148 <-> 192.168.29.1 4 1198 4 311 8 1509
    209.85.137.125 <-> 192.168.29.148 2 132 2 750 4 882
    192.168.29.148 <-> 65.54.49.141 1 74 2 137 3 211
    192.168.254.2 <-> 192.168.29.148 0 0 1 1506 1 1506
    193.48.73.22 <-> 192.168.29.148 1 46 0 0 1 46

    =========================================================================
    Si vous devez faire une analyse d'un flux multimdia bas sur RTP, alors l'option suivante va vous permettre d'afficher un rapport sur ces flux:

    1
    2

    Shell
    <span style="font-family: Georgia, 'Times New Roman', 'Bitstream Charter', Times, serif; font-size: 13p

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    10 of 15

    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    sudo tshark -i eth0 -z rtp,streams


    </span>
    <span style="font-family: Georgia, 'Times New Roman', 'Bitstream Charter', Times, serif; font-size: 13p
    </span>
    <span style="font-family: Georgia, 'Times New Roman', 'Bitstream Charter', Times, serif; font-size: 13p
    </span>
    <span style="font-family: Georgia, 'Times New Roman', 'Bitstream Charter', Times, serif; font-size: 13p
    192.168.29.148 55373 192.168.200.100 55372 0x16AE7E09 Unknown (73) 11 -10
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE477 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE47D Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE483 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE488 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE48E Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE492 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE498 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE49D Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE4A1 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE4A5 Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x83AAE4AB Unknown (72) 1 0 (0.0
    192.168.200.100 50013 192.168.29.148 55373 0x81CB0001 Unknown (73) 1 0 (0.0
    ======================================================
    </span>

    Shell
    1 <span style="font-family: Georgia, 'Times New Roman', 'Bitstream Charter', Times, serif; font-size: 13px

    sudo tshark -i eth0 -z smb,rtt


    ===================================================================
    SMB RTT Statistics:
    Filter:
    Commands Calls Min RTT Max RTT Avg RTT
    Close 1 0.00034 0.00034 0.00034
    Open AndX 1 0.01968 0.01968 0.01968
    Read AndX 3 0.00032 0.46561 0.15541
    Negotiate Protocol 1 0.00079 0.00079 0.00079
    Session Setup AndX 2 0.00071 0.00201 0.00136
    Tree Connect AndX 1 0.00063 0.00063 0.00063
    Transaction2 Commands Calls Min RTT Max RTT Avg RTT
    FIND_FIRST2 12 0.00073 0.01845 0.00520
    QUERY_FS_INFO 1 0.00043 0.00043 0.00043
    QUERY_PATH_INFO 174 0.00045 0.01445 0.00154

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    NT Transaction Commands Calls Min RTT Max RTT Avg RTT


    ===================================================================
    Shell
    1 <span style="font-family: Georgia, 'Times New Roman', 'Bitstream Charter', Times, serif; font-size: 13px

    tshark -i em0 -z sip,stat


    ===================================================================
    SIP Statistics
    Number of SIP messages: 30
    Number of resent SIP messages: 4
    * SIP Status Codes in reply packets
    SIP 401 Unauthorized : 5 Packets
    SIP 200 OK : 5 Packets
    SIP 100 Trying : 10 Packets
    * List of SIP Request methods
    REGISTER : 10 Packets
    * Average setup time 0 ms
    Min 0 ms
    Max 0 ms
    ===================================================================

    Conclusion
    TShark est donc une trs bonne alternative tcpdump, l'outil standard des distributions GNU/Linux et BSD. Il
    apporte un lot impressionnant de ltres d'achage et une gestion de rapport qui peut tre d'une grande utilit
    pour certaines analyse rseau.

    Annonces Google

    Packet Sniffer
    Network Security Firewall
    FTP Server Firewall
    Partager ce billet

    Tweeter

    1
    Like

    Billets similaires

    11 of 15

    Le coin des admins rseau


    Rseau IP

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    Installation et utilisation de LOIC sous GNU/Linux


    Tutorial TCPdump

    A propos de nicolargo
    Crateur de blog de Nicolargo, je suis un partisan des logiciels libres et un passionn des nouvelles technologies.
    Suivre @nicolargo sur Twitter S'abonner au ux RSS du blog

    6 commentaires/rfrences

    12 of 15

    On parle de ce billet (ping back):


    1. Installation et utilisation de LOIC sous GNU/Linux (#10179)

    Commentaires (de mes chers lecteurs):

    1.

    Maxime, le 19/04/2010 (#7991)


    Bonjour,
    jaimerai voir apparatre la taille des paquets changs mais je narrive pas a trouver la bonne option
    Jai bien pens -C mais je ne sais pas quoi mettre
    Merci trs bon tuto
    Rpondre

    castor, le 17/01/2011 (#11153)


    # url
    http://www.google.fr/#hl=fr&source=hp&
    q=Ubuntu+Manpage+tshark+Dump+and+analyze+network+trac
    # NAME
    tshark Dump and analyze network trac
    SYNOPSYS
    tshark [ -a ]
    [ -b ]
    [ -B ]
    [ -c ] [ -C ]
    [ -d ==, ] [ -D ]
    [ -e ] [ -E ] [ -f ]
    [ -F ] [ -h ] [ -i |- ] [ -l ] [ -L ]
    [ -n ] [ -N ] [ -o ]
    [ -p ] [ -q ] [ -r ] [ -R ]
    [ -s ] [ -S ] [ -t ad|a|r|d|e ]
    [ -T pdml|psml|ps|text|elds ] [ -v ] [ -V ] [ -w |- ] [ -x ]
    [ -X ] [ -y ] [ -z ]
    []
    # comment

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    -s
    Rpondre

    2.

    imen, le 9/03/2011 (#11711)


    c un trs bon tuto. Sauf que que je cherche ltrer par l@ip non pa par le port .
    Rpondre

    NicoLargo, le 9/03/2011 (#11714)


    => sudo tshark -f host http://www.nicolargo.com -i eth0
    RTFM (dnition wikipdia: read the fucking manual ( lis le put*** de manuel , sous-entendu lire la
    documentation avant de poser des questions de base).
    Rpondre

    3.

    Ben, le 15/11/2011 (#14208)


    Bonjour,
    Merci pour ce tuto, utilisant wireshark quotidiennement, la dcouverte de tshark ma t vritablement utile.
    Par ailleurs, savez-vous sil est possible dacher que certains protocoles au sein dun mme packet?
    Pour vous donner une meilleure comprhension de ma question, je vous donne un context. Lorsque le trac
    est important, tshark (ou wireshark) va identier dans un mme packet plusieurs messages qui sont en fait
    plusieurs packets. Si je veux donc ltrer sur un type de message envoy vers une destination prcise, je vais
    donc avoir le packet contenant ce que je veux mais polluer par dautres messages. On pourrait dire que la
    slection est inclusive et non exclusive. Comment faire en sorte de la rendre exclusive?
    Rpondre

    Vous avez un compte Twitter ?


    Cliquer sur le bouton ci-dessous pour vous enregistrer sur le blog en l'utilisant.

    Laisser un message
    Les informations saisies resteront prives
    NomVotre nom/pseudo *

    URLVotre site web

    13 of 15

    MailAdresse mail valide *

    Commentaire

    Valider votre commentaire

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    14 of 15

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    Merci de m'envoyer un mail quand de nouveaux commentaires sont posts.

    Rechercher sur ce blog

    20/09/2012 17:18

    Le blog de NicoLargoTShark, l'autre TcpDump | Le blog ...

    http://blog.nicolargo.com/2010/03/tshark-lautre-tcpdump...

    Les archives
    2012
    septembre
    aot
    juillet
    juin
    mai
    avril
    mars
    fvrier
    janvier
    2011
    2010
    2009
    2008
    2007
    2006

    Licence

    Sauf mention spciale, le contenu de ce site est distribu sous licence Creative Commons version BY 3.0.

    Ici on parle
    actualite

    Blog linux mac nagios Open-source systme ubuntu Web wordpress

    Informations
    Open-source&Co depuis 2006
    Email: contact {a} nicolargo {dot} com
    Twitter: @nicolargo
    Rss: http://blog.nicolargo.com/feed

    15 of 15

    20/09/2012 17:18

    You might also like